0
0
Uma nova versão de uma variante Mirai chamada RapperBot é o exemplo mais recente de malware usando vetores de infecção relativamente incomuns ou anteriormente desconhecidos para tentar se espalhar amplamente.
O RapperBot surgiu pela primeira vez no ano passado como malware da Internet das Coisas (IoT) contendo grandes pedaços de código-fonte Mirai, mas com algumas funcionalidades substancialmente diferentes em comparação com outras variantes do Mirai. As diferenças incluíam o uso de um novo protocolo para comunicações de comando e controle (C2) e um recurso interno para servidores SSH de força bruta em vez de serviços Telnet, como é comum em variantes Mirai.
Ameaça em constante evolução
Pesquisadores da Fortinet rastreando o malware no ano passado observaram seus autores alterando regularmente o malware, primeiro adicionando código para manter a persistência em máquinas infectadas mesmo após uma reinicialização e, em seguida, com código para autopropagação por meio de um downloader binário remoto. Mais tarde, os autores do malware removeram o recurso de autopropagação e adicionaram um que lhes permitia acesso remoto persistente a servidores SSH forçados por brutos.
No quarto trimestre de 2022, os pesquisadores da Kaspersky descobriram uma nova variante do RapperBot circulando na natureza, onde a funcionalidade de força bruta SSH havia sido removida e substituída por recursos para atingir servidores telnet.
A análise da Kaspersky do malware mostrou que ele também integrou o que o fornecedor de segurança descreveu como um recurso “inteligente” e um tanto incomum para telnet de força bruta. Em vez de força bruta com um enorme conjunto de credenciais, o malware verifica os prompts recebidos quando ele liga a um dispositivo e, com base nisso, seleciona o conjunto apropriado de credenciais para um ataque de força bruta. Isso acelera significativamente o processo de força bruta em comparação com muitas outras ferramentas de malware, disse a Kaspersky.
“Quando você liga a um dispositivo, normalmente recebe um aviso”, diz Jornt van der Wiel, pesquisador sênior de segurança da Kaspersky. O prompt pode revelar algumas informações que o RapperBot usa para determinar o dispositivo que está segmentando e quais credenciais usar, diz ele.
Dependendo do dispositivo IoT que é direcionado, o RapperBot usa credenciais diferentes, diz ele. “Então, para o dispositivo A, ele usa o conjunto de usuário/senha A; e para o dispositivo B, ele usa o conjunto de usuário/senha B”, diz van der Wiel.
O malware então usa uma variedade de comandos possíveis, como “wget”, “curl” e “ftpget” para se baixar no sistema de destino. Se esses métodos não funcionarem, o malware usa um downloader e se instala no dispositivo, de acordo com a Kaspersky.
O processo de força bruta do RapperBot é relativamente incomum, e van der Weil diz que não pode nomear outras amostras de malware que usam a abordagem.
Mesmo assim, dado o grande número de amostras de malware na natureza, é impossível dizer se é o único malware atualmente usando essa abordagem. Provavelmente não é o primeiro código malicioso a usar a técnica, diz ele.
Novas e raras táticas
A Kaspersky apontou para o RapperBot como um exemplo de malware que emprega técnicas raras e às vezes inéditas para se espalhar.
Outro exemplo é “Rhadamanthys”, um ladrão de informações disponível sob uma opção de malware como serviço em um fórum cibercriminoso em russo. O ladrão de informações é um entre um número crescente de famílias de malware que os agentes de ameaças começaram a distribuir por meio de anúncios maliciosos.
A tática envolve adversários plantando anúncios carregados de malware ou anúncios com links para sites de phishing em plataformas de anúncios on-line. Muitas vezes, os anúncios são para produtos e aplicativos de software legítimos e contêm palavras-chave que garantem que eles apareçam nos resultados dos mecanismos de pesquisa ou quando os usuários navegam em determinados sites. Nos últimos meses, os agentes de ameaças usaram os chamados malvertisements para atingir usuários de gerenciadores de senhas amplamente utilizados, como LastPass, Bitwarden e 1Password.
O crescente sucesso que os agentes de ameaças tiveram com os golpes de malvertising está estimulando um aumento no uso da técnica. Os autores do Rhadamanthys, por exemplo, inicialmente usaram e-mails de phishing e spam antes de mudar para anúncios maliciosos como o vetor infectante inicial.
“A Rhadamanthys não faz nada diferente de outras campanhas usando malvertising”, diz van der Weil. “É, no entanto, parte de uma tendência que vemos que o malvertising está se tornando mais popular.”
Outra tendência que a Kaspersky detectou: o crescente uso de malware de código aberto entre cibercriminosos menos qualificados.
Veja o CueMiner, um downloader de malware de mineração de moedas disponível no GitHub. Os pesquisadores da Kaspersky observaram invasores distribuindo o malware usando versões trojanizadas de aplicativos crackeados baixados via BitTorrent ou de redes de compartilhamento do OneDrive.
“Devido à sua natureza de código aberto, todos podem baixá-lo e compilá-lo”, explica van der Weil. “Como esses usuários normalmente não são cibercriminosos muito avançados, eles precisam confiar em mecanismos de infecção relativamente simples, como o BitTorrent e o OneDrive.”
FONTE: DARK READING